智能交换机是指支持专门的具有应用功能的“刀片”服务器,它们包括协议会话、远程镜像、磁带仿真以及内网文件和
数据共享。从具有对每个端口的额外处理能力以及
刀片服务器间巨大带宽高度集成的体系结构,到相对简单的每个服务器都配备专用的处理器,内存和用于各个端口之间通信的输入输出功能的体系结构,智能交换有很多不同的体系结构。
产品介绍
不同的商家使用不同的名字,例如“智能交换”、“应用交换”、“组织交换”等等,用于在竞争中使自己鹤立鸡群。以思科公司的MDS9000系列为例,有例如支持
Veritas卷管理器和IBM SAN卷控制器(SVC)等应用的刀片。这些刀片可以和其他刀片共存,这些服务器包括
光纤通道端口和IP服务器。
Brocade 7420多协议
路由器是一个具有高级智能的交换机的另外一个例子,它起初用来
支持协议的转换(从
小型计算机接口到光纤通道),SAN的分段和选路以及使用
FCIP协议的基于IP的远距离存储。另外一些交换机支持一些专用的刀片,这些服务器涵盖了从Maxxan 到Marranti。CNT和McData公司还宣布了他们的关于支持专用刀片的计划。
对于应用智能交换机和基于结构的设备,要注意潜在的性能以及实效性影响。例如,使用一个智能交换机会增加还是降低你的服务器和存储子系统之间的输入输出速度。是会在交换机上运行更多的功能和应用还是这些添加的设备会降低其他的输入输出速度,我们是否需要
冗余的一对智能交换机来避免部件或者设备的意外失效。
由于“智能”这个词在数据网络通信领域内从不同的角度可以有众多不同的理解,因此我们首先要定义清楚本文所谈的“智能交换机”或者“智能
网管交换机”。而在定义此种类型的交换机之前,我们先要从传统的交换机产品类别说起,来理解市场上为什么会有此种产品类别的强烈需求。
网管功能
传统的
非网管交换机和全网管交换机在很大场合是不能满足如下这些商业用户对交换机产品的需求:
越来越多的中小商用用户的电子应用越来越丰富,他们也需要用具有管理功能的交换机来构建他们的网络基础架构平台,可非网管交换机并不能满足他们的应用需要,而全网管交换机过于复杂的功能和较贵的价格也使得他们不敢大规模应用。
越来越多的大型商业用户和企业用户发现其实在很多应用场合并不需要全
网管交换机这么多的功能,如果能将投资成本进一步下降来提高投资回报比是他们的要求.我们所谈的智能交换机。到底什么是“智能交换机”或者“智能网管交换机”呢? 从现有大部分厂商的智能交换机的产品来看,我们可以从以下一些参考点来定义此产品。
产品功能
交换机的管理方式一般支持基于WEB的图形化管理和基于
SNMPv1/v2c/v3的网络管理标准协议;而不支持以前传统的较为复杂的CLI 命令行,以及
Telnet, Consloe本地
控制台等管理方式。交换机的功能支持绝大部分商用用户所要求的常见功能,满足市场上商业用户80%的交换机功能需求;而并不是全
网管交换机的全部功能。交换机的价格只是略高于
非网管交换机而比全网管交换机要便宜很多,并且基于WEB的管理方式也使得设备的配置和维护相对来说极为容易。
产品特点
这种“智能交换机”或者“智能网管”交换机满足了很多商业用户对
以太网交换机的需要:具备一定的管理功能可满足企业应用的发展;较为低廉的价格可确保网络基础建设的投资回报比;方便简易的管理配置方式确保安装和维护的方便快捷。可以这么说,智能型交换机以相当于非
网管交换机的价格为用户提供了
网管型交换机功能,并且还保证了非网管式交换机的简易安装和维护。
目标用户
首先是全球的中小商业用户(一般是网络规模在200点左右)快速认同此种完全符合其市场需求的产品类别,然后是一些较为大型的商业用户和一些企业用户也开始认同并快速接受此产品。反过来,由于产品销量的持续快速增长,智能交换机的产品线也越来越丰富,从原来的 10/100M智能交换机,发展到全千兆端口的智能交换机,开始出现堆叠式的10/100M智能交换机,堆叠式的全千兆端口智能交换机以及更多型号的
PoE网络供电智能交换机。丰富的智能交换机产品线又更进一步拓展了其应用场合。
产品定义
我们所谈的智能交换机可从三个关键点来定义它:从交换机可
网管的角度来区分的话,它支持基于WEB的图形式管理和
SNMP网络管理协议,而去掉了商业用户并不需要的复杂的需要经过专业培训才能掌握的CLI命令行管理方式。从交换机所支持的管理功能来看,它保留了传统
全网管理交换机中绝大部分商业用户所需要的常用的功能。从产品的价格来看,它们是越来越接近
非网管交换机。
支持功能
交换机功能的定义是根据用户的应用所需要来定义的,我们从商业用户所常见的应用层面出发来讨论智能交换机所必须支持的一些功能。
数据流、语音流和
视频流在网络中混合传输需要
接入层交换机能够对不同的
业务流进行区分,并按照
优先级不同进行不同的带宽分配,因此智能交换机都支持802.1p(服务类别),
QoS服务质量保证以及Bandwidth Control带宽控制等服务策略。
网络面临各种安全威胁,而且这些安全威胁呈现混合性攻击特征。边缘交换机需要具备有效防范恶意攻击和非法侵入的能力。MAC地址认证和IEEE
802.1x认证等功能可帮助用户在接入网络时完成必要的身份认证,来有效防止非法用户访问网络。另外如交换机端口和用户PC机MAC地址锁定功能,分别基于交换机端口出入方向的端口限速功能(Rate Limiting)。有时为了便于用户对进入端口的
数据包进行监控,端口的镜像功能 Port Mirroring 功能也是十分必须的。
为了便于用户对设备的工作状态有个较为详尽的了解,Syslog 日志记录以及相应的RMON功能是智能交换机所普通支持的。
应用
智能交换机在全球推出,越来越多的中小办公室用户,商业用户以及企业用户在快速地接受并认同此种类型的交换机产品。作为非网交换机用户的升级,它保证了用户只需投入较少的成本就能得到网管交换机的功能,优化自己的网络基础架构,促进自己的电子应用;作对全网管交换机的用户,当他们在自己了解自己所要求的交换机功能和管理方式之后,发现智能交换机其实在很多应用场合已经能完全满足他们的要求,他们可以在大量节省预算的前提下保证得到同样可
网管的网络架构。它在
非网管交换机和全网管交换机都不能完全满足用户要求的情况下为用户提供了很好的选择。
在国内,广泛的中小学校,网吧,酒店客户,办公室网络以及各行各业的商用网络正在大量开始应用智能交换机。智能交换机的发货量在急剧的增长。
发展
在2007年,针对中小型商业网络用户并不需要全
网管千兆
三层交换机的许多额外功能(如OSPF、VRRP以及
PIM等)的市场需求下,一些具备基本三层路由功能(如支持基于VLAN的路由,支持RIP等)的三层千兆智能交换机产品将快速出现。智能交换机将朝着产品型号越来越多,贴近用户的功能越来越丰富,管理配置的方式越来越简易的方式发展。智能交换机的发展前景将越来越好。
常见类别
24 端口或者48端口具千兆上连的 10/100M智能交换机
16,24或者48端口的全千兆智能交换机
堆叠式24 端口或者48端口具千兆上连的 10/100M智能交换机
堆叠式24 端口或者48端口全千兆智能交换机
具有
PoE功能的10/100M或者全千兆智能交换机
设置方法
智能交换机由于内置操作系统,某种意义上可以算一个计算机,当然可以进行管理,管理方式主要有以下几种
1、通过WEB方式管理,管理员可以通过一台普通计算机和该交换机连接,输入该交换机的
IP地址(可自设也可以默认),就可以见到管理页面,进行管理。
2、通过
TELNET远程终端方式管理,有的提供简单的菜单,有的则可以通过命令行管理,一般
CISCO的交换机都有一套完整的管理命令,注意的是,命令分不同模式,不同级别的用户可以使用的命令是不一样的。
3、
SNMP管理,通过一些
SNMP软件对交换机进行管理和监视。
主要就是这些,比较高档的都是通过命令行管理的。
采购原则
原则一
:对网络及设备的监控和管理
可管理是智能交换的基础,通常意义上的
网络管理系统包括性能、配置、故障、计费和安全等5个功能域,这是最基本、也是最常用到的功能。随着用户网络规模的扩大、网络应用的增多,对网络运行状况的实时监控和维护就变得非常必要,需要
网管系统与智能交换设备相互密切配合。
常见的网管系统有两类,一类是通用的网管平台,如HP OpenView,可以提供一个第三方的网管平台,支持对所有
SNMP设备的发现和简单监控。但由于各厂商设备都具有大量自行开发的私有
MIB(Management Information Base)库,通用网管平台无法对其进行识别和管理。因此,如果要实现对各种设备进行详尽监控、管理和配置时,必须进行
二次开发。近年来,各厂商
设备更新很快,而与第三方通用网管平台的配合则非常有限,使得通用网管平台难以细致地对多厂商的设备进行管理。
另一类是由
网络设备厂商自行开发的
网管平台,如Cisco WORKS、
神州数码LinkManager等,可以对本厂商的设备进行深入细致的监控、配置和管理,实用性较强且价格也较便宜。但问题是,无法用这类网管系统实现对全网设备的统一管理,因此用户往往采用多台网管工作站分别安装不同的系统,进行分别管理。
随着用户对不同设备进行统一网管的需求日益迫切,各厂商也在考虑采用更加开放的方式实现设备对
网管的支持,例如开放私有
MIB库,乃至完全依照RFC来编写MIB库,以实现不同厂商间设备与网管系统的
互操作性。
在大中型企业网中,应用网管系统的比例较以前已大幅度提高。因此,用户在选择时不能满足于拓扑发现、
流量监控、状态监控等通用的网管功能,还要对于设备远程配置、用户管理、
访问控制乃至
QoS监控等提出更高的要求。
另外,为节省
IP地址,简化管理层次,不同的厂商采用堆叠或集群网管等技术,将多台设备作为一台逻辑上的设备进行统一管理。用户也可以关注这类产品。
原则二
:对不同应用类型数据的分类和处理
智能交换的另外一个重要体现是,对网络中不同类型的数据自动进行分类,并提供不同的传输策略,确保关键应用的顺畅运行,也就是通常所说的服务质量(
QoS)。
常见的
QoS技术有IntServ(
RSVP)和
DiffServ两种方式。
前者采用资源预留的方式,即针对每种不同的应用,都在网络上预留“
端到端”的专用通道,确保关键应用独享固定的
带宽资源。资源预留的方式属于虚拟专线的解决方案,能够确保关键应用的传输质量,却无法实现带宽的共享,易造成线路资源的浪费;另外,资源预留只适合于较为简单的
网络拓扑,如
路由器间
点对点的
专线连接,对于复杂而庞大的
企业网而言,很难实施,更不要说
城域网了。
因此,用户最好采用
DiffServ的交换机,以实现“端到端”的
QoS。需要指出的是,为实现DiffServ QoS,要求用户的网络上所有相关的交换机都支持802.1p
优先级功能。
原则三
:对多媒体传输的支持
交换机对专用于多媒体传输的功能和协议的支持越来越多,其中最为典型的是
组播技术。
组管理协议IGMP已经成为智能交换机必备的基本功能。而对于
三层交换机,除了RIP、OSPF等
单播路由协议外,也开始支持
DVMRP、PIM SM/DM等
组播路由协议。
在进行组播应用时(如视频会议等),各交换机均可通过
IGMP协议在整个网络范围内传递分组信息,使各交换机确定每组的成员,而组播路由协议则可对组播
数据包进行路由,使得组播包在网络上顺畅传输。其中,DVMRP相当于
单播时的
RIP协议,适合于小规模的网络应用;而
PIM则是与协议无关的组播路由协议,分为密集模式(DM)和稀疏模式(SM)两种。密集模式主要适用于
网络带宽较大、用户分布较集中的场合,如公司的局域网; 而稀疏模式主要适用于网络带宽较小、用户分布较稀疏的场合,如
广域网或Internet。
有的交换机还配置了
语音网关模块,使得
以太网交换机直接具备
VoIP功能,但这样的应用还需要在客户端分别布网线和电话线;若采用客户端的VoIP网关,则可通过一条网线实现语音、数据的传输。这两种方案孰优孰劣,还要根据实际情况来判断。
原则四
用户分类、权限设置和访问控制,也是
智能网络的重要功能。由于企业管理的细化,对于不同的网络资源,要针对不同用户设置不同的访问权限。
基于VLAN和
三层交换的访问控制就属于工作组级的访问控制。VLAN除了具备隔离广播、提高网络性能的作用之外,其重要的作用就在于将不同的工作组隔离开来,便于实现可控的相互访问。
三层交换机可以实现跨VLAN的访问,而通过
访问控制列表ACL,则可设置不同VLAN间乃至不同
IP地址的设备对于不同
网络服务的访问权限。
对于
智能小区宽带接入应用,将每个用户都划分在单独的VLAN中,也能够实现用户级的认证和
访问控制,但这种方式只适用于固定接入的用户,且无法实现计费。
在宽带接入网和
企业网中,以往用于电信运营网络中的AAA技术(授权、认证、计费),如传统的
RADIUS、
PPPoE,以及新兴的
802.1x等
用户认证功能等,开始被集成到智能交换机中,与
认证服务器配合,从而实现基于用户的认证和访问控制。
对于企业网来说,通常要实现用户访问不同的网络服务资源时,进行认证、访问控制及服务认证,而不是针对用户接入端口进行接入认证。因此,常用的方式是以
访问控制列表或RADIUS认证服务器,对相关应用服务资源设置不同的访问权限,并针对用户实现认证和授权。
对于宽带接入网来说,则需要通过用户认证实现对端口联通状态的控制,通常要采用“PPPoE+RADIUS”或“802.1x+RADIUS”的方式来实现接入认证。
PPPoE是一种较为成熟的认证方式,通过
PPP协议封装
以太网帧,在无连接的以太网上提供了
点对点的连接。PPPoE类似传统的拨号接入方式,用户端采用一个
拨号软件,发起PPP连接请求,穿过
以太网交换机或者
DSL设备,终结在
集中控制管理层的
接入网关设备上。接入网关设备负责终结PPP连接,并与
RADIUS配合实现用户管理和策略控制。
802.1x起源于
802.11协议的
EAPOL,是最近出现的一种以太网认证技术。 802.1x是IEEE为了解决基于端口的
接入控制而定义的一个标准。
802.1x认证方式主要通过认证前后打开/关闭用户接入端口来实现对用户接入的控制。基于端口的网络接入控制是在 LAN 设备的物理接入级对接入设备进行认证和控制。连接在物理端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。认证通过时,从远端认证服务器可以传递来自用户的信息,如VLAN、CAR参数、
优先级、用户的
访问控制列表等; 认证通过后,用户的流量就将接受上述参数的监管。
802.1x要求接入交换机支持
EAPOL协议,至少支持该
报文的
透传,但现有通常的
网络设备多数不支持。虽然越来越多的厂商开始提供支持802.1x的智能交换机产品,但由于该协议标准尚未成熟,各厂商实现的方式不尽相同,它的发展受到了一定程度的制约。
原则五
为确保
核心交换机不受类似拒绝服务(DoS)攻击而导致全网瘫痪,有的厂商在核心
路由交换机中采用了
防火墙和IDS系统中的防攻击技术,以确保核心交换机更加稳固和强壮。此举尤其可以抵御来自网络内部的攻击,提高系统的安全性。但是该技术在边缘交换机中仍较少采用。
满足需求
设备的大规模应用,成本的大幅度下降,竞争更趋理性,这些表明
宽带业务已经度过生命周期的进入期,进入业务成长期。 用户对
宽带网络的需求最终是为了实现“三网合一”,也就是数据、语音、视频业务三网合一。
为了能对用户的关键业务进行保证,对不同等级的用户进行区别对待,就需要宽带IP网络能够对用户提供
端到端的服务质量,也要求从边缘
接入层设备到
核心层设备都能够提供统一的
QoS特性,除此之外,对用户的管理及计费也是宽带设备,尤其是对
以太网交换机智能化的一个要求。
需要端到端的QoS
对
QoS的需求,为了满足三网合一的应用,在交换设备上必须能够对不同的
业务流进行区别对待,比如对于某些关键业务可以提供较高
带宽,而对于
优先级比较低的业务可以分配较小的带宽,以此保证同一个网络对不同的业务提供不同的服务,实现区别服务。首先就要能够对业务流进行合理全面的流分类,要求设备至少可以支持2到4层的流分类(OSI分层标准),更好的设备可以真正实现按用户需要自定义、实现2~7层的流分类。交换机必须能够支持802.1p(强制优先级)、
diffserv(区别服务)、CAR(
流量监管)等服务策略、WRR以及RED、HOLB、flow control等前期后期
拥塞控制。
完善ACL功能
第二个需求就是ACL(
访问控制)功能的完善,能够对经过本设备的数据流按照一定的原则进行一定的访问过滤,最常用的策略就是基于流分类来进行访问控制。常见的应用就是对某些非法网站的
IP地址在本地出口设备上配置
ACL规则,禁止
本地用户对非法网站的访问。ACL访问控制具体能控制到哪一个层面完全取决于流分类的能力,流分类能力越强能够控制的层面就越大,当然也不是说能流分类就能访问控制,而是说流分类是实现访问控制的一个必要条件,有了这个必要条件还要看访问控制的实现到底能达到哪个层面。这就要求交换机能够基于用户的源MAC、目的MAC、源物理
端口号、目的物理端口号、源IP地址、目的
IP地址、源
网段地址、目的网段地址、按四层协议类型(socket)、按用户自定义规则等来对数据业务进行分类,同时按照这些的分类对不同的业务流提供不同的服务质量或进行ACL控制,即禁止或允许特定流的转发。
适应多业务应用
第三个需求是对多业务应用的需求。这里所谓的多业务包含几个方面:一是对
组播业务的支持,
二层交换机上应该实现IGMP Snooping功能,
三层交换机上应该实现PIM-SM、PIM-DM、
DVMRP等三层组播协议至少一种以上,业界比较认可、应用比较广泛的主要是
PIM协议;二是用户的
安全策略问题,包括对用户身份的认证、用户的计费、基本的防攻击策略等。在
以太网交换机上采用的用户身份的认证方式简单的主要有mac+port绑定、mac+IP绑定、IP+mac+port绑定,复杂点认证方式主要是
802.1x、portal认证、强制portal等。802.1x实现可以有本地认证和远端认证两种方式,本地认证意味着交换机内置了RADIUS Server,用户可以直接在本地交换机上进行认证而不需要在交换机上外挂RADIUS Server,远端认证就需要在交换机之外提供外挂的RADIUS Server,交换机本身只完成认证报文的中继。
组播业务成为
IP网络的主要业务之一,基于组播的视频业务得到越来越广泛的应用。传统的组播业务只是关注业务的可行性、
网络带宽的合理化使用,并不能实现对下属用户接收权限的控制。智能
以太网交换机应该能够提供对组播业务权限的控制,只有通过认证的用户才能接收相应的组播业务,没有经过组播权限认证的用户只能实现数据业务的通信不能接收
组播业务,这一概念称为可控组播或受控组播。能够在
接入层设备支持基于复杂流分类的ACL。能够基于用户的源mac、目的mac、源物理
端口号、目的物理端口号、源
IP地址、目的IP地址、源
网段地址、目的网段地址、按四层协议类型(socket)、按用户自定义规则等来对数据业务进行分类,同时按照上述的分类对不同的业务流提供不同的服务质量或进行ACL控制,即禁止或允许特定流的转发。
作为智能
以太网交换机,除了能对用户进行管理之外,还应该对设备有较强的管理及
安全特性。对设备的管理首先是配合
网管的设备管理,应该支持SNMP V1/V2/V3、RMON 1、2、3、9,WEB网管,能够从网管平台对设备进行可视化的、便捷的设备管理。除此之外,设备本身应该具有一定的安全特性,包括二层的端口捆绑、STP/
RSTP、
MSTP,三层的VRRP等链路备份或设备备份功能。华为的智能以太网交换机能够提供集群管理、
PVLAN、GMRP、GVRP。
对用户的计费主要依靠RADIUS 服务器来完成,交换机负责统计用户的时长、流量、访问内容等计费信息,并负责把统计到的计费信息转发给后台的
RADIUS计费服务器。就上述对智能
以太网交换机的理解,华为Quidway S3026E(
二层交换机)、Quidway S3526E(
三层交换机)均属于智能以太网交换机。
智能向接入层转移
智能以太网交换机市场应用前景非常广阔,大
企业网、教育网、宽带智能小区等场合智能以太网交换机已经成为网络建设的关键设备,在其他诸如
IP城域网、
金融网等众多应用领域智能以太网交换机也起着越来越大的作用。
未来智能
以太网交换机的功能将会进一步得到提升,诸如硬件NAT业务板、ALG(地址
网关)、硬件集成IAD(
语音网关)、MPLS VPN等业务也会在智能以太网交换机上逐步地实现,从而把网络
汇聚层的大部分智能业务逐步下移到
接入层的智能以太网交换机上,减轻汇聚层负担,从而达到优化网络、提高网络效率、增强网络功能的目的,最终向NGN(
下一代网络)平滑过渡。